Botnet Mirai_ptea

Se ha detectado una nueva variante basada en la infame Mirai Botnet como parte de operaciones amenazantes activas. Llamada Mirai_ptea por los investigadores de malware, la nueva amenaza explota una vulnerabilidad en los dispositivos DVR de KGUARD. Ciertos detalles sobre la vulnerabilidad específica se mantienen en secreto pero, en resumen, permite a los actores de la amenaza acceder al programa rsSystemServer en el firmware KGUARD DVR y luego escuchar en el puerto 56 *** a 0.0.0.0 para ejecutar comandos arbitrarios del sistema de forma remota. , sin necesidad de autenticarse. Cabe señalar que este exploit en particular se corrigió en versiones de firmware lanzadas después de 2017. Aún así, los investigadores de infosec descubrieron aproximadamente 3.000 dispositivos vulnerables que pueden verse comprometidos por Mirai_ptea. La mayoría de los dispositivos ya violados parecen estar ubicados en los Estados Unidos, seguidos de Corea y Brasil.

Capacidades amenazantes

Mirai Botnet ganó notoriedad en 2016, y poco después, su código fuente se filtró en foros de piratas informáticos convirtiendo la amenaza en malware de código abierto. Desde entonces, los ciberdelincuentes sin escrúpulos han creado numerosas amenazas con una dependencia variable del código Mirai original. En cuanto a Mira_ptea, el análisis de su código y actividades muestra que a nivel de comportamiento del host, es casi idéntico a Mirai. Las principales diferencias se encuentran en la forma en que Mirai_ptea maneja su tráfico de red. De hecho, su nombre se deriva de dos de ellos: el uso de un proxy TOR para la comunicación con el servidor Command-and-Control (C2, C&C) y la dependencia de TEA (Tine Encryption Algorithm) para enmascarar datos de recursos confidenciales. La principal funcionalidad amenazante de Mirai_ptea es llevar a cabo ataques DDoS (Distributed Denial-of-Service) y la amenaza se ha utilizado en ataques activos contra objetivos seleccionados.